VNet-naar-VNet-connectiviteit tussen Azure Stack hub-instanties met Fortinet Forti Gate NVAVNet to VNet connectivity between Azure Stack Hub instances with Fortinet FortiGate NVA

In dit artikel verbindt u een VNET in een Azure Stack hub met een VNET in een andere Azure Stack hub met behulp van Fortinet Forti Gate NVA, een virtueel netwerk apparaat.In this article, you'll connect a VNET in one Azure Stack Hub to a VNET in another Azure Stack Hub using Fortinet FortiGate NVA, a network virtual appliance.

Dit artikel heeft betrekking op de huidige limiet voor Azure Stack hub, waardoor tenants slechts één VPN-verbinding tussen twee omgevingen kunnen instellen.This article addresses the current Azure Stack Hub limitation, which lets tenants set up only one VPN connection across two environments. Gebruikers leren hoe u een aangepaste gateway instelt op een virtuele Linux-machine die meerdere VPN-verbindingen tussen verschillende Azure Stack hub mogelijk maakt.Users will learn how to set up a custom gateway on a Linux virtual machine that will allow multiple VPN connections across different Azure Stack Hub. De procedure in dit artikel implementeert twee VNETs met een Forti Gate NVA in elk VNET: één implementatie per Azure Stack hub-omgeving.The procedure in this article deploys two VNETs with a FortiGate NVA in each VNET: one deployment per Azure Stack Hub environment. Het bevat ook een overzicht van de wijzigingen die zijn vereist voor het instellen van een IPSec VPN tussen de twee VNETs.It also details the changes required to set up an IPSec VPN between the two VNETs. De stappen in dit artikel moeten worden herhaald voor elk VNET in elke Azure Stack hub.The steps in this article should be repeated for each VNET in each Azure Stack Hub.

VereistenPrerequisites

  • Toegang tot een met Azure Stack hub geïntegreerde systemen met beschik bare capaciteit voor het implementeren van de vereiste compute-, netwerk-en resource vereisten die nodig zijn voor deze oplossing.Access to an Azure Stack Hub integrated systems with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

    Notitie

    Deze instructies werken niet met een Azure stack Development Kit (ASDK) vanwege de netwerk beperkingen in de ASDK.These instructions will not work with an Azure Stack Development Kit (ASDK) because of the network limitations in the ASDK. Zie ASDK-vereisten en overwegingenvoor meer informatie.For more information, see ASDK requirements and considerations.

  • Een NVA-oplossing (netwerk virtueel apparaat) wordt gedownload en gepubliceerd naar de Azure Stack hub Marketplace.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. Een NVA regelt de stroom van netwerk verkeer van een perimeter netwerk naar andere netwerken of subnetten.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. Deze procedure maakt gebruik van de Forti Gate-oplossing van de Next Generation firewall van het Fortinet-van de volgende generatie.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Ten minste twee beschik bare Forti Gate-licentie bestanden om de Forti Gate-NVA te activeren.At least two available FortiGate license files to activate the FortiGate NVA. Zie het artikel over het registreren en downloaden van uw licentievoor meer informatie over het verkrijgen van deze licenties.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    Deze procedure maakt gebruik van de implementatie van één Forti Gate-VM.This procedure uses the Single FortiGate-VM deployment. U vindt de stappen voor het koppelen van de Forti Gate-NVA aan de Azure Stack hub VNET naar in uw on-premises netwerk.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    Voor meer informatie over het implementeren van de Forti Gate-oplossing in een actief-passieve (HA) ingestelde procedure, zie artikel ha van de Fortinet-document bibliotheek voor Forti Gate-VM op Azure.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the Fortinet Document Library article HA for FortiGate-VM on Azure.

ImplementatieparametersDeployment parameters

De volgende tabel bevat een overzicht van de para meters die in deze implementaties worden gebruikt voor het volgende:The following table summarizes the parameters that are used in these deployments for reference:

Implementatie 1: Forti1Deployment one: Forti1

Naam van Forti Gate-exemplaarFortiGate Instance Name Forti1Forti1
BYOL-licentie/-versieBYOL License/Version 6.0.36.0.3
Forti Gate beheerders naamFortiGate administrative username fortiadminfortiadmin
Naam resourcegroepResource Group name forti1-rg1forti1-rg1
Naam van virtueel netwerkVirtual network name forti1vnet1forti1vnet1
VNET-adres ruimteVNET Address Space 172.16.0.0/16 *172.16.0.0/16*
Naam openbaar VNET-subnetPublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Voor voegsel openbaar VNET-adresPublic VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
Naam in VNET-subnetInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
Binnen VNET-subnetvoorvoegselInside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
VM-grootte van Forti Gate NVAVM Size of FortiGate NVA Standaard F2s_v2Standard F2s_v2
Naam openbaar IP-adresPublic IP address name forti1-publicip1forti1-publicip1
Openbaar IP-adres typePublic IP address type StatischStatic

Implementatie twee: Forti2Deployment two: Forti2

Naam van Forti Gate-exemplaarFortiGate Instance Name Forti2Forti2
BYOL-licentie/-versieBYOL License/Version 6.0.36.0.3
Forti Gate beheerders naamFortiGate administrative username fortiadminfortiadmin
Naam resourcegroepResource Group name forti2-rg1forti2-rg1
Naam van virtueel netwerkVirtual network name forti2vnet1forti2vnet1
VNET-adres ruimteVNET Address Space 172.17.0.0/16 *172.17.0.0/16*
Naam openbaar VNET-subnetPublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Voor voegsel openbaar VNET-adresPublic VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
Naam in VNET-subnetInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
Binnen VNET-subnetvoorvoegselInside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
VM-grootte van Forti Gate NVAVM Size of FortiGate NVA Standaard F2s_v2Standard F2s_v2
Naam openbaar IP-adresPublic IP address name Forti2-publicip1Forti2-publicip1
Openbaar IP-adres typePublic IP address type StatischStatic

Notitie

* Kies een andere set adres ruimten en subnet-voor voegsels als de bovenstaande overlap ping op een wille keurige manier met de lokale netwerk omgeving, inclusief de VIP-groep van een van de Azure Stack hub.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Zorg er ook voor dat de adresbereiken elkaar niet overlappen. * *Also ensure that the address ranges do not overlap with one another.**

De Forti Gate NGFW Marketplace-items implementerenDeploy the FortiGate NGFW Marketplace Items

Herhaal deze stappen voor beide omgevingen met Azure Stack hub.Repeat these steps for both Azure Stack Hub environments.

  1. Open de gebruikers portal van de Azure Stack hub.Open the Azure Stack Hub user portal. Zorg ervoor dat u referenties gebruikt die ten minste de Inzender rechten voor een abonnement hebben.Be sure to use credentials that have at least Contributor rights to a subscription.

  2. Selecteer een resource maken en zoeken naar FortiGate .Select Create a resource and search for FortiGate.

    In de scherm afbeelding ziet u één regel met resultaten van de zoek opdracht ' Forti Gate '.

  3. Selecteer de Forti Gate-NGFW en selecteer het maken.Select the FortiGate NGFW and select the Create.

  4. Voltooi de basis principes met behulp van de para meters uit de tabel implementatie parameters .Complete Basics using the parameters from the Deployment parameters table.

    Het formulier moet de volgende informatie bevatten:Your form should contain the following information:

    De tekst vakken (zoals instantie naam en BYOL-licentie) van het dialoog venster basis beginselen zijn ingevuld met waarden uit de implementatie tabel.

  5. Selecteer OK.Select OK.

  6. Geef de details van het virtuele netwerk, de subnetten en de VM-grootte op uit de implementatie parameters.Provide the virtual network, subnets, and VM size details from the Deployment parameters.

    Als u verschillende namen en bereiken wilt gebruiken, moet u ervoor zorgen dat er geen para meters worden gebruikt die conflicteren met de andere VNET-en Forti Gate-resources in de andere Azure Stack hub-omgeving.If you wish to use different names and ranges, take care not to use parameters that will conflict with the other VNET and FortiGate resources in the other Azure Stack Hub environment. Dit geldt met name bij het instellen van het VNET IP-bereik en de subnet bereiken binnen het VNET.This is especially true when setting the VNET IP range and subnet ranges within the VNET. Controleer of ze niet overlappen met de IP-bereiken voor het andere VNET dat u maakt.Check that they don't overlap with the IP ranges for the other VNET you create.

  7. Selecteer OK.Select OK.

  8. Configureer het open bare IP-adres dat wordt gebruikt voor de Forti Gate-NVA:Configure the public IP that will be used for the FortiGate NVA:

    In het tekstvak naam van open bare IP-adres van het dialoog venster IP-toewijzing wordt de waarde ' forti1-publicip1 ' weer gegeven (in de implementatie tabel).

  9. Selecteer OK en selecteer vervolgens OK.Select OK and then Select OK.

  10. Selecteer Maken.Select Create.

De implementatie duurt ongeveer tien minuten.The deployment will take about 10 minutes. U kunt nu de stappen herhalen voor het maken van de andere Forti Gate NVA en VNET-implementatie in de andere Azure Stack hub-omgeving.You can now repeat the steps to create the other FortiGate NVA and VNET deployment in the other Azure Stack Hub environment.

Routes (Udr's) configureren voor elk VNETConfigure routes (UDRs) for each VNET

Voer de volgende stappen uit voor beide implementaties: forti1-rg1 en forti2-Rg1.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Ga in de Azure Stack hub-Portal naar de resource groep forti1-Rg1.Navigate to the forti1-rg1 Resource Group in the Azure Stack Hub portal.

    Dit is een scherm opname van de lijst met resources in de resource groep forti1-Rg1.

  2. Selecteer op de resource ' forti1-forti1-InsideSubnet-routes-XXXX '.Select on the 'forti1-forti1-InsideSubnet-routes-xxxx' resource.

  3. Selecteer routes onder instellingen.Select Routes under Settings.

    In de scherm afbeelding ziet u het item met de gemarkeerde routes van instellingen.

  4. De route naar Internet verwijderen.Delete the to-Internet Route.

    De scherm afbeelding toont de gemarkeerde to-Internet route.

  5. Selecteer Ja.Select Yes.

  6. Selecteer Toevoegen.Select Add.

  7. Noem de route to-forti1 of to-forti2 .Name the Route to-forti1 or to-forti2. Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Use your IP range if you are using a different IP range.

  8. Voer het volgende in:Enter:

    • forti1: 172.17.0.0/16forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16forti2: 172.16.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Use your IP range if you are using a different IP range.

  9. Selecteer een virtueel apparaat voor het type van de volgende hop.Select Virtual appliance for the Next hop type.

    • forti1: 172.16.1.4forti1: 172.16.1.4
    • forti2: 172.17.0.4forti2: 172.17.0.4

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Use your IP range if you are using a different IP range.

    Het dialoog venster route bewerken voor to-forti2 heeft tekst vakken met waarden.

  10. Selecteer Opslaan.Select Save.

Herhaal de stappen voor elke InsideSubnet -route voor elke resource groep.Repeat the steps for each InsideSubnet route for each resource group.

De Forti Gate-Nva's activeren en een IPSec-VPN-verbinding configureren op elke NVAActivate the FortiGate NVAs and Configure an IPSec VPN connection on each NVA

U hebt een geldig licentie bestand van Fortinet nodig om elke Forti Gate-NVA te activeren.You will require a valid license file from Fortinet to activate each FortiGate NVA. De nva's werkt pas nadat u elke NVA hebt geactiveerd.The NVAs will not function until you have activated each NVA. Zie het artikel over het registreren en downloaden van uw licentievoor meer informatie over het verkrijgen van een licentie bestand en de stappen voor het activeren van de NVA.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Er moeten twee licentie bestanden worden aangeschaft: één voor elke NVA.Two license files will need to be acquired – one for each NVA.

Een IPSec-VPN tussen de twee Nva's makenCreate an IPSec VPN between the two NVAs

Nadat de Nva's zijn geactiveerd, volgt u deze stappen om een IPSec-VPN tussen de twee Nva's te maken.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

Volg de onderstaande stappen voor zowel de forti1-NVA als de forti2-NVA:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. U kunt het toegewezen open bare IP-adres ophalen door te navigeren naar de overzichts pagina van de fortiX-VM:Get the assigned Public IP address by navigating to the fortiX VM Overview page:

    Op de overzichts pagina van forti1 ziet u de resource groep, de status, enzovoort.

  2. Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adres balk.Copy the assigned IP address, open a browser, and paste the address into the address bar. In uw browser wordt u mogelijk gewaarschuwd dat het beveiligings certificaat niet wordt vertrouwd.Your browser may warn you that the security certificate is not trusted. Ga toch door.Continue anyway.

  3. Voer de gebruikers naam en het wacht woord in van de Forti Gate-beheerder die u tijdens de implementatie hebt opgegeven.Enter the FortiGate administrative user name and password you provided during the deployment.

    De scherm opname is van het aanmeldings scherm, met een knop aanmelden en tekst vakken voor gebruikers naam en wacht woord.

  4. Selecteer systeem > firmware.Select System > Firmware.

  5. Schakel het selectie vakje met de nieuwste firmware in, bijvoorbeeld FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    De scherm afbeelding voor de firmware ' FortiOS v 6.2.0 build0866 ' bevat een koppeling naar release opmerkingen en twee knoppen: back-up configureren en upgraden en upgrade uitvoeren.

  6. Selecteer back-upconfiguratie en-upgrade en ga door wanneer u hierom wordt gevraagd.Select Backup config and upgrade and Continue when prompted.

  7. De NVA werkt de firmware bij naar de meest recente build en opnieuw opstarten.The NVA updates its firmware to the latest build and reboots. Het proces duurt ongeveer vijf minuten.The process takes about five minutes. Meld u weer aan bij de Forti Gate-webconsole.Log back into the FortiGate web console.

  8. Klik op wizard VPN > IPSec.Click VPN > IPSec Wizard.

  9. Voer een naam voor de VPN in, bijvoorbeeld conn1 in de wizard VPN maken.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Selecteer deze site bevindt zich achter NAT.Select This site is behind NAT.

    De scherm opname van de wizard VPN maken laat zien dat deze zich in de eerste stap bevindt, VPN-installatie.

  11. Selecteer Next.Select Next.

  12. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. Selecteer port1 als de uitgaande interface.Select port1 as the Outgoing Interface.

  14. Selecteer vooraf gedeelde sleutel en voer (en registreert) een vooraf gedeelde sleutel.Select Pre-shared Key and enter (and record) a pre-shared key.

    Notitie

    U hebt deze sleutel nodig om de verbinding in te stellen op het on-premises VPN-apparaat, dat wil zeggen dat ze exact moeten overeenkomen.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    De scherm opname van de wizard VPN maken laat zien dat de tweede stap, verificatie en de geselecteerde waarden worden gemarkeerd.

  15. Selecteer Next.Select Next.

  16. Selecteer port2 voor de lokale interface.Select port2 for the Local Interface.

  17. Voer het lokale subnet-bereik in:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Use your IP range if you are using a different IP range.

  18. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding kunt maken via het on-premises VPN-apparaat.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Use your IP range if you are using a different IP range.

    De scherm opname van de wizard VPN maken geeft aan dat deze zich in de derde stap, het beleid & route ring, met de geselecteerde en ingevoerde waarden weergeeft.

  19. Selecteer MakenSelect Create

  20. Selecteer netwerk > interfaces.Select Network > Interfaces.

    In de interface lijst worden twee interfaces weer gegeven: port1, die is geconfigureerd en port2.

  21. Dubbel klik op port2.Double-click port2.

  22. Kies LAN in de lijst met rollen en DHCP voor de adresserings modus.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Selecteer OK.Select OK.

Herhaal de stappen voor de andere NVA.Repeat the steps for the other NVA.

Alle Phase 2-selectors weer gevenBring Up All Phase 2 Selectors

Zodra het bovenstaande is voltooid voor beide nva's:Once the above has been completed for both NVAs:

  1. Selecteer in de forti2 Forti Gate-webconsole om Monitor de > IPSec-monitor te controleren.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    De monitor voor de VPN-verbinding conn1 wordt weer gegeven.

  2. Markeer conn1 Bring Up > alle fase 2-selectors en selecteer deze.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    De monitor en de fase 2-kiezer worden beide weer gegeven.

De connectiviteit testen en validerenTest and validate connectivity

Nu moet u tussen elk VNET kunnen routeren via de Forti Gate-Nva's.You should now be able to route in between each VNET via the FortiGate NVAs. Als u de verbinding wilt valideren, maakt u een Azure Stack hub-VM in de InsideSubnet van elk VNET.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Het maken van een Azure Stack hub-VM kan worden uitgevoerd via de portal, CLI of Power shell.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Bij het maken van de virtuele machines:When creating the VMs:

  • De Azure Stack hub-Vm's worden geplaatst op de InsideSubnet van elk VNET.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • U kunt geen nsg's Toep assen op de VM bij het maken (dat wil zeggen, de NSG verwijderen die standaard wordt toegevoegd als de virtuele machine wordt gemaakt vanuit de portal.You do not apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if creating the VM from the portal.

  • Zorg ervoor dat de firewall regels van de virtuele machine de communicatie toestaat die u gaat gebruiken om de connectiviteit te testen.Ensure that the VM firewall rules allow the communication you are going to use to test connectivity. Voor test doeleinden is het raadzaam om de firewall volledig binnen het besturings systeem uit te scha kelen, indien dit mogelijk is.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

Volgende stappenNext steps

Verschillen en overwegingen voor Azure Stack hub-netwerkenDifferences and considerations for Azure Stack Hub networking
Een netwerk oplossing bieden in Azure Stack hub met Fortinet Forti GateOffer a network solution in Azure Stack Hub with Fortinet FortiGate